Sicurezza Mac a rischio: la app HandBrake utilizzata per veicolare il pericoloso malware Proton

Nei giorni scorsi un gruppo di hacker ha violato uno dei server per il download del famoso strumento di transcodifica video HandBrake, sostituendo poi la versione legittima del software con un malware per Mac.
del 12/05/17 - di Luca Sambucci

Nei giorni scorsi un gruppo di hacker ha violato uno dei server per il download del famoso strumento di transcodifica video HandBrake, sostituendo poi la versione legittima del software con un malware per Mac.
I primi utenti Mac a venire a conoscenza dell’accaduto sono stati quelli che collegandosi al sito dell’app https://handbrake.fr, hanno visualizzato un link collegato a un “Avviso di protezione”:
Chiunque abbia scaricato HandBrake su Mac tra il 2 Maggio e il 6 Maggio deve verificare il valore del checksum SHA1 / 256 del file prima di eseguirlo.

Nel caso in cui si sia installato HandBrake per Mac occorrerà controllare che il proprio sistema non sia stato infettato da un Trojan, considerato che durante il periodo indicato ci sono state il 50% delle possibilità di aver scaricato un malware al posto del vero HandBrake.

I prodotti per la sicurezza ESET correttamente aggiornati rilevano il download maligno come OSX / Proton.A - un Trojan che consente ai criminali di accedere da remoto ai computer Mac infettati, di catturare screenshot dei computer, sottrarre i dati della carta di credito e le password immesse usando la tastiera, utilizzare la webcam connessa al sistema, e rubare i documenti registrati nella macchina.
Gli utenti di antivirus di altri produttori dovrebbero verificare che le loro soluzioni di sicurezza per Mac siano in grado di rilevare questa ultima variante del malware Proton che consente l’accesso remoto alle macchine infettate.

La triste verità è che gli utenti Mac in genere non utilizzano un prodotto antivirus a differenza di chi usa Windows - ciò li rende un facile bersaglio per i criminali informatici che decidono di prendere di mira la piattaforma Apple. Anche se negli ultimi anni l’uso di soluzioni di sicurezza per Mac è in continua crescita come anche la diffusione di nuove minacce, i numeri però sono ancora lontani da quelli degli utenti Microsoft.
È vero quindi che ci sono molti meno malware per Mac OS X che per Windows, ma questa è una magra consolazione per gli utenti Apple vittima di un’infezione, per cui indipendentemente dal sistema in uso navigare su Internet senza un’efficace soluzione antimalware è estremamente pericoloso.

Analizzando il comportamento dell’app infetta, i ricercatori di ESET hanno notato come, a differenza dell’HandBrake originale, questa mostra una strana finestra di dialogo all’avvio in cui si chiede di inserire la password per “installare codec aggiuntivi”. Pur rifiutando questa richiesta di aggiornamento, successivamente si presenta un’altra finestra, non legata a HandBrake e apparentemente associata al “Network Configuration” che ha bisogno della password di sistema per “aggiornare le impostazioni DHCP”. Anche tentando di chiudere questo messaggio la finestra viene continuamente riproposta e l’unica soluzione per chiuderla definitivamente è di riavviare il dispositivo.

I produttori di HandBrake consigliano agli utenti di controllare il checksum SHA quando scaricano nuove versioni dell'app dal sito, anche se è difficile immaginare che la maggior parte degli utenti sia così attenta a questi dettagli tecnici.

In ogni caso, i ricercatori di ESET segnalano che i file HandBrake.dmg con i seguenti valori checksum sono assolutamente infetti e da evitare:
SHA1:0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793



Per maggiore sicurezza, i ricercatori di ESET consigliano di verificare il proprio sistema e il file DMG scaricato con una soluzione di sicurezza affidabile che sia in grado di rilevare questa particolare variante del Trojan Proton.


---

ESET, fondata nel 1992, è uno dei fornitori globali di software per la sicurezza informatica di pubbliche amministrazioni, aziende e utenti privati. Il software ESET NOD32 Antivirus fornisce una protezione in tempo reale da virus, worm, spyware e altri pericoli, conosciuti e non, offrendo il più elevato livello di protezione disponibile alla massima velocità e con il minimo impiego di risorse di sistema. NOD32 è l’antivirus che ha vinto il maggior numero di certificazioni Virus Bulletin 100% e dal 1998 non ha mai mancato l’individuazione di un virus ItW (in fase di diffusione). ESET NOD32 Antivirus, ESET Internet Security e ESET Cybersecurity per Mac rappresentano le soluzioni per la sicurezza informatica più raccomandate a livello mondiale, avendo ottenuto la fiducia di oltre 100 milioni di utenti. L’azienda, presente in 180 Paesi, ha il suo quartier generale a Bratislava e uffici e centri di ricerca a San Diego, Buenos Aires, Singapore, Praga, Cracovia, Montreal, Mosca. Per quattro anni di seguito ESET è stata inclusa fra le aziende Technology Fast 500 EMEA da Deloitte e per dieci anni consecutivi fra le aziende Technology Fast 50 Central Europe. Per maggiori info: www.eset.it

FUTURE TIME è il distributore esclusivo dei prodotti ESET per l’Italia, nonché suo partner tecnologico. Fondata a Roma nel 2001, Future Time nasce dalla sinergia di due preesistenti aziende attive da anni nel campo della sicurezza informatica. Future Time, con Paolo Monti e Luca Sambucci, fa parte della WildList Organization International, ente no profit a livello mondiale composto da esperti e aziende antivirus che hanno il compito di riportare mensilmente tipologia e numero dei virus diffusi in ogni Paese. Per maggiori info: www.eset.it

Licenza di distribuzione:

FONTE ARTICOLO

INFORMAZIONI SULLA PUBBLICAZIONE

ESET Italia

Responsabile account:
Luca Sambucci (Responsabile pubblicazioni)

Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente